受新冠疫情影響,全球大部分企業(yè)開(kāi)啟遠(yuǎn)程辦公模式,企業(yè)對(duì)電子郵件的依賴(lài)也達(dá)到了前所未有的程度。與此同時(shí),電子郵件也成為網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo),他們通過(guò)各種手段竊取敏感數(shù)據(jù),并通過(guò)一系列復(fù)雜攻擊手段傳播危險(xiǎn)的惡意軟件。
由于傳統(tǒng)的郵件傳輸協(xié)議(SMTP)并沒(méi)有內(nèi)置安全防護(hù)元素,因此電子郵件系統(tǒng)需要額外的安全協(xié)議來(lái)保護(hù)系統(tǒng)運(yùn)營(yíng)安全。本文收集整理了目前常用的郵件安全協(xié)議并對(duì)其進(jìn)行簡(jiǎn)單介紹。
1. SSL/TLS應(yīng)用層安全協(xié)議
安全套接層(SSL)及后續(xù)的技術(shù)傳輸層安全(TLS)都是應(yīng)用層安全協(xié)議,也是兩種最常見(jiàn)的郵件安全協(xié)議,可以保護(hù)在互聯(lián)網(wǎng)上傳輸?shù)泥]件。在互聯(lián)網(wǎng)通信網(wǎng)絡(luò)中,應(yīng)用層為終端用戶(hù)服務(wù)的通信實(shí)現(xiàn)了標(biāo)準(zhǔn)化。在這種情況下,通過(guò)應(yīng)用層提供一個(gè)安全框架(一組規(guī)則),可以與SMTP(也是一種應(yīng)用層協(xié)議)共同確保郵件通信的安全。
由于SSL目前已經(jīng)逐步被優(yōu)化,企業(yè)需要更多關(guān)注其后續(xù)技術(shù)TLS,它為計(jì)算機(jī)程序通信提供額外的私密性和安全性,其中就包括了給郵件系統(tǒng)的SMTP協(xié)議提供額外安全性保護(hù)。TLS之所以非常重要,是由于絕大多數(shù)的郵件服務(wù)器和郵件客戶(hù)端使用它為郵件提供基本級(jí)別的加密。
在具體應(yīng)用中,TLS協(xié)議包括了機(jī)會(huì)型TLS和強(qiáng)制型TLS,其中:機(jī)會(huì)型TLS會(huì)告訴郵件服務(wù)器,需要將現(xiàn)有的客戶(hù)端連接轉(zhuǎn)換成安全的TLS連接;而強(qiáng)制型TLS會(huì)強(qiáng)制所有往來(lái)的郵件都使用安全的TLS標(biāo)準(zhǔn),否則將不會(huì)被發(fā)送出去。
2. 數(shù)字證書(shū)
數(shù)字證書(shū)是一種公鑰加密工具,能夠通過(guò)加密來(lái)保護(hù)郵件。通過(guò)數(shù)字證書(shū),可以讓使用者應(yīng)用預(yù)定義的公共密鑰,向收件人發(fā)送經(jīng)過(guò)加密的郵件,因此,數(shù)字證書(shū)有點(diǎn)像護(hù)照:它與用戶(hù)的在線身份綁定,其主要用途是驗(yàn)證這個(gè)身份。
如果使用數(shù)字證書(shū),其公鑰也可供任何想給該用戶(hù)發(fā)送加密郵件的人使用。他們可以使用用戶(hù)的公鑰來(lái)加密文檔,而用戶(hù)可以用私鑰來(lái)解密。數(shù)字證書(shū)并不僅限于個(gè)人使用。企業(yè)、政府組織、郵件服務(wù)器及幾乎數(shù)字實(shí)體都可以擁有數(shù)字證書(shū),以確認(rèn)和驗(yàn)證郵件用戶(hù)的在線身份。
3. SPF域名驗(yàn)證協(xié)議
域名系統(tǒng)是互聯(lián)網(wǎng)的重要基礎(chǔ),代表了某個(gè)實(shí)體的線上地址。發(fā)送方策略框架(SPF)是一種可以防范域名欺詐的驗(yàn)證協(xié)議。SPF引入了額外的安全檢查,使郵件服務(wù)器能夠確定郵件是否來(lái)自真正的域名或是否有人冒用該域名來(lái)隱藏真實(shí)身份。
由于域名可用來(lái)追蹤確定位置和所有者,因此黑客和垃圾郵件發(fā)送者在企圖滲入系統(tǒng)或欺騙用戶(hù)時(shí)經(jīng)常會(huì)隱藏其域名。如果不法分子讓惡意郵件冒充是正規(guī)域名發(fā)來(lái)的郵件,毫無(wú)戒備的用戶(hù)更容易點(diǎn)擊或打開(kāi)惡意的附件。發(fā)送方策略框架有三大驗(yàn)證要素:框架、驗(yàn)證方法以及傳輸信息的專(zhuān)用郵件標(biāo)頭。
4. DKIM郵件防篡改協(xié)議
域密鑰識(shí)別郵件(DKIM)是一種防篡改的協(xié)議,可以確保郵件在傳輸過(guò)程中的內(nèi)容完整性和安全性。DKIM實(shí)際上是SPF的一種擴(kuò)展,它使用數(shù)字簽名來(lái)檢查郵件是否由特定域發(fā)送的。此外,它可以檢查該域是否授權(quán)郵件發(fā)送。在實(shí)際操作中,DKIM讓用戶(hù)更容易創(chuàng)建域黑名單和白名單。
5. DMARC身份驗(yàn)證協(xié)議
電子郵件安全的重要一環(huán)是基于域的消息驗(yàn)證、報(bào)告和一致性比對(duì)。DMARC協(xié)議正是一種身份驗(yàn)證系統(tǒng),可用于驗(yàn)證SPF和DKIM標(biāo)準(zhǔn),以防止源自域名的欺詐活動(dòng)。DMARC是對(duì)付域名欺詐的一種有效手段,但目前的實(shí)際采用率并不高,這也意味著未來(lái)的郵件欺詐態(tài)勢(shì)仍可能會(huì)進(jìn)一步惡化加劇。
DMARC通過(guò)阻止有人欺詐“header from”地址來(lái)提供防護(hù),它可以明確指令郵件服務(wù)提供商如何安全處理收到的郵件。如果某個(gè)郵件無(wú)法通過(guò)SPF檢查或DKIM驗(yàn)證,該郵件將被拒絕。盡管DMARC不能做到萬(wàn)無(wú)一失,但總體上是一種能夠讓各種域名系統(tǒng)免受欺詐的協(xié)議技術(shù)。
6. S/MIME端到端加密協(xié)議
安全/多功能互聯(lián)網(wǎng)郵件擴(kuò)展(S/MIME)是一種歷史悠久的端到端加密協(xié)議。S/MIME在郵件發(fā)送之前對(duì)其進(jìn)行加密,但并不對(duì)發(fā)件人、收件人或郵件標(biāo)頭的其他部分進(jìn)行加密。只有收件人才能解密郵件。
S/MIME由郵件客戶(hù)端實(shí)施,但需要數(shù)字證書(shū)。大多數(shù)現(xiàn)代郵件客戶(hù)端都可以支持S/MIME協(xié)議,不過(guò)你需要確認(rèn)支持所選定的應(yīng)用程序和郵件服務(wù)提供商。
7. PGP/OpenPGP端到端加密協(xié)議
Pretty Good Privacy(PGP)是另一種廣泛應(yīng)用的端到端加密協(xié)議。然而,我們更有可能遇到并使用另一個(gè)版本OpenPGP,這是實(shí)現(xiàn)PGP加密協(xié)議的開(kāi)源版本。它經(jīng)常更新,并用于眾多現(xiàn)代應(yīng)用程序和服務(wù)中。與S/MIME一樣,第三方用戶(hù)仍然可以訪問(wèn)郵件元數(shù)據(jù),比如郵件發(fā)件人和收件人信息。
用戶(hù)可以在各種操作系統(tǒng)上將OpenPGP添加到郵件安全系統(tǒng),包括Windows、macOS、Linux、Android以及iOS等。在不同版本的系統(tǒng)上實(shí)現(xiàn)OpenPGP的方式略有不同,但是它們都是可靠的加密程序,可以將郵件數(shù)據(jù)放心地交由它們。OpenPGP可以說(shuō)是目前跨平臺(tái)添加加密機(jī)制的最簡(jiǎn)單方法之一。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<